O aspecto mais importante de qualquer configuração da Internet em 2019 é a sua rede sem fio. Embora as conexões com fio sejam mais rápidas e muitas vezes mais seguras, a litania de dispositivos espalhados pela sua casa exige um sinal sem fio. De TVs e alto-falantes inteligentes a seu smartphone e tablet, uma conexão sem fio é simplesmente essencial em 2019.
Obviamente, quando se trata de internet sem fio, você estará lidando com muitos termos diferentes de segurança com os quais talvez não esteja familiarizado, causando muita confusão em torno do espaço de rede sem fio. Existem siglas em todos os lugares e muitas opções, com a maioria delas lidando diretamente com protocolos de segurança. Tudo isso significa que a segurança da sua rede está diretamente em risco, a menos que você saiba exatamente o que está fazendo.
Portanto, neste artigo, veremos a segurança do WPA2 Enterprise, como ele funciona e se você precisa. Desde a história do WPA como um protocolo de segurança até como o WPA2 Enterprise pode realmente aprimorar sua segurança doméstica, este é o seu guia para configurar o WPA2 Enterprise em sua rede.
O que é o WPA2?
Em resposta ao desastre de segurança que era o WEP, a WiFi Alliance desenvolveu o WPA (WiFi Protected Access.) Como o WPA era uma resposta direta ao WEP, ele resolveu muitos dos muitos problemas do WEP. A WPA implementou o TKIP (Temporal Key Integrity Protocol), que melhorou bastante a criptografia sem fio, gerando chaves dinamicamente para cada pacote transmitido. O WPA também inclui verificações para garantir que os dados transmitidos não sejam violados.
Embora o WPA tenha sido bom, ele também tem suas falhas. A maioria deles se originou do uso do TKIP. O TKIP foi uma melhoria em relação à criptografia WEP, mas ainda é explorável. Portanto, a Wi-Fi Alliance introduziu o WPA2 com criptografia obrigatória AES (Advanced Encryption Standard). O AES é um padrão de criptografia mais forte, com suporte para criptografia de 256 bits. A partir de agora, o WPA2 com AES é a opção mais segura.
Qual é a diferença entre empresa e pessoal?
Agora, ainda existe a questão do WPA2 Enterprise. Afinal, é provavelmente por isso que você clicou neste artigo em primeiro lugar. Se você examinou as definições de configuração de um roteador sem fio feito após 2006, talvez tenha notado que existem duas opções para o WPA2. Na maioria dos roteadores, você pode encontrar um rotulado como "Empresa" e o outro marcado como "Pessoal". Ambas as opções são WPA2 e usam a mesma criptografia AES. A diferença entre eles vem de como eles lidam com a conexão de usuários à rede.
O WPA2 Personal também usa a chave pré-compartilhada WPA2-PSK ou WPA2, porque gerencia as conexões com a rede com uma senha que já foi compartilhada com a pessoa que está se conectando. Isso funciona bem para pequenas redes domésticas, porque geralmente você pode confiar em todos na rede, e eles não são muito um alvo para possíveis invasores. Provavelmente, se você se conectou ao Wi-Fi na casa de um amigo ou configurou sua própria rede sem fio, ele foi configurado com o WPA2-PSK.
O WPA2 Enterprise está obviamente focado mais em usuários corporativos. Em vez de usar apenas uma senha para autenticar o acesso, o WPA2 Enterprise conta com um servidor RADIUS e um banco de dados de credenciais de cliente separadas para autenticação. Isso é ótimo para as empresas porque elas têm os recursos para configurar um servidor para autenticação. As empresas também têm maiores necessidades de segurança. Uma empresa também pode se recuperar rapidamente, caso um dispositivo seja perdido ou roubado, atribuindo a cada usuário suas próprias informações de login. Além disso, permite que uma empresa se proteja contra funcionários descontentes que possam querer prejudicar sua rede.
Quais são as vantagens do WPA2 Enterprise?
As vantagens do WPA2 Enterprise não são exatamente vantagens para todos. Se você deseja apenas configurar uma rede doméstica simples com pouca necessidade de manutenção ou manutenção, o WPA2 Enterprise não será uma boa solução para você. É praticamente o oposto do que você deseja. No entanto, se você estiver administrando uma empresa ou procurando segurança refinada em sua rede doméstica, o WPA2 Enterprise possui várias características que a tornam uma excelente candidata.
O WPA2 Enterprise utiliza um banco de dados. Embora possa não ser um grande problema quando você está lidando apenas com um punhado de usuários, ter o poder e a utilidade de um banco de dados pode ser crucial ao trabalhar com um grande número de conexões. Ele permite que os administradores de rede rastreiem, gerenciem e manipulem dados facilmente com ferramentas com as quais estão familiarizados de maneira eficiente.
O uso de um banco de dados também ajuda a aprimorar outra característica importante das redes corporativas WPA2, a capacidade de desativar as credenciais dos usuários. Um administrador de rede pode desativar facilmente a conta de um usuário caso um dispositivo seja perdido, roubado ou esse usuário saia da empresa. As credenciais de login individuais também ajudam a conter ameaças em potencial, facilitando a remoção de qualquer máquina comprometida da rede.
O WPA2 Enterprise elimina a necessidade de alterar as informações de login quando um administrador remove um usuário da rede ou uma única máquina é comprometida. Seria uma dor enorme para o departamento de TI de uma grande corporação ter que reconectar cada dispositivo em sua rede com um novo login sempre que alguém deixasse a empresa. Isso simplesmente não faz sentido.
O uso de chaves de autenticação de usuário individual também compartimenta a rede, restringindo a quais dados de rede cada usuário tem acesso. Em uma rede WPA2-PSK, todo usuário pode ver os dados da rede de todos os outros usuários. Isso torna muito fácil para um invasor ou invasor obter acesso a mais informações na rede e causar mais danos. Para redes corporativas, isso não é um problema, graças às chaves individuais.
Outro ótimo recurso do WPA2 Enterprise é a capacidade de usar certificados para autenticação. As senhas são problemáticas por muitos motivos, entre os quais a vulnerabilidade a ataques de dicionário. Para piorar as coisas, é quase impossível confiar nos seus usuários para criar senhas fortes. É quase como se as pessoas escolhessem instintivamente os de lixo sempre. Este é realmente o maior risco para as redes WPA2-PSK. Os certificados são quase como uma apólice de seguro contra senhas ruins. Mesmo que um invasor consiga adivinhar a senha terrível de um usuário, ele ainda não poderá fazer login sem o certificado desse usuário. Os certificados fornecem mais uma camada de proteção às redes corporativas.
Como você implementa uma rede corporativa WPA2?
É absolutamente impossível abranger todas as configurações e combinações possíveis de circunstâncias que possam ocorrer na configuração de uma rede WPA2 Enterprise WiFi. Ninguém terá o mesmo hardware e software de rede e ninguém terá os mesmos clientes. No entanto, existem etapas básicas que os administradores de rede podem usar em todas as configurações de rede.
Antes de explorar a própria rede, configure seu banco de dados de usuários. Pode parecer um exagero, mas o MySQL ou um clone compatível como o MariaDB é a melhor opção. Você pode configurar seu banco de dados em sua própria máquina, em um servidor de banco de dados existente ou na mesma máquina que o servidor RADIUS. A escolha que você escolher depende do tamanho do banco de dados e como você planeja gerenciá-lo. O MySQL provou ser rápido e confiável. Também é de código aberto e compatível com qualquer plataforma de servidor que você escolher.
O servidor RADIUS está no coração do WPA2 Enterprise. É o principal fator que diferencia as redes corporativas das pessoais. O RADIUS é responsável pelo gerenciamento de conexões e autenticação. Ele também coordena tudo o que está entre o roteador, o banco de dados e os clientes. Há várias opções para configurar um servidor RADIUS. Em alguns casos, um roteador possui o RADIUS embutido. Há também várias opções comerciais para você escolher. O FreeRADIUS é um excelente servidor RADIUS de código aberto que pode ser implantado em servidores baseados em Linux, Windows e Mac. De qualquer forma, você terá que configurar seu servidor RADIUS para conectar-se e usar seu banco de dados MySQL.
Você vai precisar de algumas chaves. As chaves de criptografia são obviamente um componente importante em toda essa equação. Novamente, existem várias maneiras de abordar a geração de suas chaves e o estabelecimento de uma autoridade de certificação. Em praticamente qualquer sistema operacional, o OpenSSL é uma ótima opção. O OpenSSL também é um programa de código aberto compatível com praticamente qualquer plataforma.
Com os servidores configurados e em execução e as chaves geradas, você pode finalmente configurar seu roteador. Cada roteador é diferente, portanto, não é fácil entrar em detalhes aqui. Apenas certifique-se de alterar as configurações sem fio do seu roteador para WPA2 Enterprise com criptografia AES. Você também precisará fornecer informações ao roteador para se conectar ao servidor RADIUS.
Por fim, você pode começar a conectar clientes. Crie credenciais de cliente e troque chaves. Conectar cada cliente será diferente. Todo sistema operacional e dispositivo lida com a conexão de redes e o gerenciamento de conexões de maneira diferente. De um modo geral, você precisará dos seus certificados e das informações de login que você já criou. Certifique-se de configurar os dispositivos clientes para se conectarem automaticamente, a fim de evitar aborrecimentos futuros.
Então, eu troco?
Dependendo de quem você é e o que você precisa que sua rede faça, a troca pode ser uma boa ideia. Se sua rede está configurada para usar WEP ou WPA atualmente, mude para WPA2 agora! Não espere. Apenas faça. Se você usa o WPA2 Personal e pensa em passar para a empresa, não é tão claro.
Não mude para o WPA2 Enterprise se você é um usuário doméstico e não sabe nada sobre bancos de dados ou servidores em execução. Você acabará frustrado com uma rede quebrada. Atenha-se ao WPA2 Personal e selecione uma senha forte. Você ficará muito mais feliz com isso.
Se você estiver administrando uma empresa e tiver funcionários, mudar para o WiFi corporativo pode ser a decisão certa para você. Apenas certifique-se de estar preparado e de ter todas as partes e peças em ordem antes de dar o salto. A configuração adequada é tão importante para a segurança quanto escolher o padrão certo de criptografia e WiFi.
